A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubba
Érintett szolgáltatás:
Megjegyzés
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Mielőtt konfigurálja Microsoft Defender XDR az adatok Event Hubsba való streameléséhez, győződjön meg arról, hogy a következő előfeltételek teljesülnek:
Eseményközpontok létrehozása (további információ: Event Hubs beállítása).
Event Hubs-Namespace létrehozása (további információ: Event Hubs-névtér beállítása).
Adjon engedélyeket ahhoz az entitáshoz, amely közreműködői jogosultságokkal rendelkezik, hogy az entitás adatokat exportálhat az Event Hubsba. További információ az engedélyek hozzáadásáról: Engedélyek hozzáadása
Megjegyzés
A streamelési API az Event Hubson vagy az Azure Storage-fiókon keresztül integrálható.
- Legalább biztonsági rendszergazdaként jelentkezzen be Microsoft Defender portálra.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Lépjen a Streamelési API beállításainak lapjára.
Kattintson a Hozzáadás gombra.
Válasszon nevet az új beállításoknak.
Válassza az Események továbbítása az Azure Event Hubba lehetőséget.
Kiválaszthatja, hogy egyetlen eseményközpontba szeretné-e exportálni az eseményadatokat, vagy az egyes eseménytáblákat egy másik Event Hubs-eseményközpontba szeretné exportálni az Event Hubs-névtérben.
Ha egyetlen eseményközpontba szeretné exportálni az eseményadatokat, adja meg az eseményközpont nevét és az eseményközpont Namespace erőforrás-azonosítóját.
Az Event Hub Namespace erőforrás-azonosítójának lekéréséhez lépjen a Azure Event Hubs-névtér oldalára az AzureProperties (Azure-tulajdonságok>) lapon > másolja a szöveget az Erőforrás-azonosító területen:
A Microsoft 365 Streaming API-ban az eseménytípusok támogatási állapotának áttekintéséhez nyissa meg a Támogatott Microsoft Defender XDR eseménytípusokat az eseménystreamelési API-ban.
Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
A Azure Event Hubs minden Event Hubs-üzenete tartalmazza a rekordok listáját.
Minden rekord tartalmazza az esemény nevét, az esemény Microsoft Defender XDR fogadásának időpontját, a bérlőt (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk.
Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés oldalra.
Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Az alábbi speciális veszélyforrás-keresési lekérdezés segítségével hozzávetőlegesen megbecsülheti az adatmennyiség átviteli sebességét és a kezdeti eseményközpont kapacitását az események/s és a becsült MB/s alapján. Javasoljuk, hogy a lekérdezést normál munkaidőben futtassa a "valós" átviteli sebesség rögzítése érdekében.
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
A különböző Event Hubs-korlátok ellenőrzéséhez tekintse át Azure Event Hubs kvótát és korlátokat.
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Az eseménystreamelési API-ban támogatott Microsoft Defender XDR eseménytípusok
események Stream Microsoft Defender XDR az Azure Storage-fiókba
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.